Presentada por: Centro de Productividad Avanzada S.A. de C.V. DOCUMENTO 11 GESTIÓN DE LA CONFIGURACIÓN Y CAMBIOS

Transcripción

1 PROPUESTA TÉCNICA Presentada por: Centro de Productividad Avanzada S.A. de C.V. DOCUMENTO 11 GESTIÓN DE LA CONFIGURACIÓN Y CAMBIOS FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01232

2 Tabla de Contenido 1 INTRODUCCIÓN OBJETIVO DESCRIPCIÓN DETALLADA PARA EL APROVISIONAMIENTO DEL PROCESO DE GESTIÓN DE LA CONFIGURACIÓN Y CAMBIOS... 3 MODELO LOGICO DEL CICLO PDCA/CICLO DE DEMING CONDUCTORES DE SERVICIO GESTIÓN DE SERVICIOS GESTIÓN DE RESPONSABILIDADES APROVISIONAMIENTO DEL PROCESO DE GESTIÓN DE CONFIGURACIONES Y CAMBIOS PROCEDIMIENTOS Y TÉCNICAS PARA EL APROVISIONAMIENTO DEL PROCESO DESCRIPCIÓN DETALLADA PARA LA ENTREGA DEL PROCESO DE GESTIÓN DE LA CONFIGURACIÓN Y CAMBIOS PROCEDIMIENTOS Y TÉCNICAS PARA LA ENTREGA DE LOS PROCESOS (GESTIÓN DE LA CONFIGURACIÓN Y GESTIÓN DE CAMBIOS) GRUPO DEDICADO A LA GENERACIÓN DE IMÁGENES PROCESO DE GENERACIÓN DE IMÁGENES PROCESO DE INSTALACIÓN DE IMÁGENES PROCEDIMIENTOS Y TÉCNICAS PARA LA CREACIÓN DE IMAGEN BASE DE SOFTWARE RFC: CPA UM2 Página 2 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01233

3 1 INTRODUCCIÓN CEPRA incluye en el presente documento, que es parte de su propuesta técnica, una descripción clara de cómo aprovisionará y entregará el proceso de Gestión de la configuración y cambios. Se incluye los procedimientos y técnicas para implementar y gestionar el proceso, de acuerdo a lo requerido por el SAT. Los rubros que CEPRA considera y documentar a detalle para el proceso de Gestión de la configuración y cambios son: Grupo dedicado a la Generación de imágenes Proceso de generación e instalación de imágenes 2 OBJETIVO Establecer las actividades para definir y controlar los componentes del servicio y la infraestructura, así como para mantener actualizada la información exacta de la información de la configuración, además de establecer las actividades para realizar e implementar adecuadamente todos los cambios necesarios en la infraestructura y en los servicios. 3 DESCRIPCIÓN DETALLADA PARA EL APROVISIONAMIENTO DEL PROCESO DE GESTIÓN DE LA CONFIGURACIÓN Y CAMBIOS CEPRA actualmente cuenta con certificaciones en estándares internacionales para la gestión de servicios, calidad y seguridad de la información, lo que fortalece y asegura servicios de calidad que proporcionen certidumbre hacia nuestros clientes respecto a la forma en cómo entregamos y damos soporte de nuestros procesos y servicios. Dado que CEPRA es una empresa que busca constantemente innovar y especializarse para entregar verdadero valor a nuestros clientes, ha integrado sus Sistemas de Gestión por medio del Ciclo de Calidad denominado PDCA o Ciclo de Deming, logrando con esto una integración y coordinación entre los sistemas de gestión altamente eficiente y efectiva; esto nos hace diferentes de la competencia y es por ello que somos líderes en el mercado de Administración de Servicios de TI. A continuación hacemos una breve descripción del cómo es que CEPRA integra sus Sistemas de Calidad, Seguridad y Servicios de TI para garantizar el cumplimiento de los niveles de atención y servicios que nuestros clientes esperan recibir de parte nuestra. RFC: CPA UM2 Página 3 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01234

4 MODELO LOGICO DEL CICLO PDCA/CICLO DE DEMING. LICITACIÓN PÚBLICA NACIONAL RESERVADA DE LA Figura 1: Modelo Lógico ciclo de DEMING CONDUCTORES DE SERVICIO. Al contar con la definición de los criterios de información en los que se fundamentan nuestros servicios procedemos a identificar cuáles deben de ser los requerimientos de los clientes en los que nos debemos enfocar para transformarlos en nuestros conductores de servicios, que serán nuestra guía para construir nuestros servicios, para esto CEPRA toma la referencia para identificación de requerimientos de servicios definida por ISO e ISO siendo los siguientes: A) Requerimientos de Negocio. B) Requerimientos de los Clientes. C) Requerimientos por servicios nuevos o cambios a los servicios existentes. D) Mesa de Servicios E) Requerimientos por integridad, seguridad y confidencialidad de la información. GESTIÓN DE SERVICIOS. Tenemos claridad de los requerimientos sustantivos por parte de los clientes y es el momento en que los transformamos en el insumo para diseñar y gestionar los servicios que cubrirán los requerimientos de nuestros clientes. RFC: CPA UM2 Página 4 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01235

5 GESTIÓN DE RESPONSABILIDADES. Dado que estamos conscientes que gran parte del éxito de un proyecto está en la selección del personal y delegar de manera eficiente las responsabilidades y actividades a desempeñar, criterios de información y criterios de aceptación, CEPRA utiliza herramientas como la Matriz RACI, definición de perfiles y control de actividades para garantizar una correcta gestión de responsabilidades 3.1 APROVISIONAMIENTO DEL PROCESO DE GESTIÓN DE CONFIGURACIONES Y CAMBIOS La metodología que CEPRA utilizará para el aprovisionamiento del proceso de Gestión de Configuraciones y Cambios, tiene una arquitectura de cuatro capas que son: el negocio, los procesos, la gestión y los catalizadores. Dichas capas, en suma, componen un modelo para la entrega y soporte de los procesos y servicios, que incluye a su vez, los procedimientos, entregables (salidas del proceso) y técnicas que CEPRA emplea en sus proyectos, así como mecanismos para la gestión y medición de los procesos. el NEGOCIO Preventa Venta Implementación de la Solución Prestación del Servicio Cadena de valor Postventa Metodología CEPRA Aprovisionamiento Diagnóstico Planeación Definición Implementación Soporte y Mejora los PROCESOS Diseño de procesos Modelado de procesos Ejecución de procesos Metodología BPM Monitoreo de procesos Optimización de procesos Metodología Oficina de Proyectos (OAP) la GESTIÓN Inicio Planeación Ejecución Monitoreo y Control Cierre Metodología ITIL Estrategia Diseño Transición Operación Mejora Continua el CATALIZADOR Recursos, Capacitación y Herramientas al momento de diseñar, modelar, representar, analizar y controlar los procesos de negocio La Tecnología y los Drivers Figura 2: Arquitectura de CEPRA para Aprovisionamiento y Gestión de Procesos En este sentido, el aprovisionamiento de los procesos se compone directamente de mecanismos como la administración de proyectos y la gestión de procesos para su implementación y soporte, adicionalmente considera la entrega de material didáctico y mecanismos para la medición y monitoreo del proceso. RFC: CPA UM2 Página 5 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01236

6 LICITACIÓN PÚBLICA NACIONAL RESERVADA DE LA Cadena de valor O. CEPRA De Procesos Preventa Venta Implementación de la Solución Prestación del Servicio Postventa Diagnóstico Planeación Definición Implementación Soporte y Mejora Diseño de procesos Ejecución de procesos Modelado de procesos Monitoreo de procesos Consultoría 5. Diseñar y documentar el entregable 6. Revisar con el cliente el entregable 7. Actualizar el entregable 8. Firmar el entregable Consultoría 10.Acompañamiento durante la pametrizar de la herramienta, requisición de formatos y bases de datos. 11. Generar material y capacitar a los involucrados. 12. Asesorar al Cliente para la correcta ejecución de actividades / políticas / controles. Optimización de procesos M. BPM Actividades generales Consultoría 1. Identificar áreas, unidades de negocio y/o responsables involucrados 2. Entrevistar involucrados y aplicar documentos de trabajo 3. Identificar brechas 4. Diagnosticar cumplimiento-madurez VS MPs-ISOs-MRs / cultura organizacional OAP Reunión de arranque del proyecto Entregar de Informe de Resultados Gestión del Cambio 9. Elaborar y ejecutar Estrategia de Gestión del Cambio y Comunicación OAP Actas de Entrega Sesiones de avance Bitácora de eventos Minutas Valoración Proceso de Consultoría Gestión del Cambio 14. Ejecución de la Estrategia de Comunicación OAP Actas de Entrega/Cierre Sesiones de avance Bitácora de eventos Minutas Diseño de la solución Consultoría 15. Elaborar agenda de evaluación 16. Evaluar la solución 17. Documentar hallazgos 18. Emitir recomendaciones OAP Actas de Entrega Sesiones de avance Bitácora de eventos Minutas Implementación de la solución Evaluación de la solución Gestión del Cambio Entregables E1: Informe de Resultados Cumplimiento Madurez Rasgos Culturales E2: Procesos, Procedimientos, Manuales, Métricas, Manuales, Instrucciones de Trabajo, Políticas, Controles E3: Estrategia de Gestión del Cambio y Comunicación E4: Minutas (Acompañamiento) E5: Material de Capacitación E6: Plan de Evaluación E7: Lista de Hallazgos E8: Informe de Resultados M. OAP Inicio Planeación Ejecución Monitoreo y Control Cierre M. ITIL Estrategia Diseño Transición Operación Mejora Continua Figura 3: Metodología Global CEPRA para el Aprovisionamiento y Gestión de Procesos Con base en lo anterior, el proceso de Gestión de Configuración y Cambios está basado en la administración de proyectos alineada a las buenas practicas del PMBOK y en la Gestión de Procesos que considera actividades de Diseño y generación del proceso, Revisión del procesos con las partes interesadas, actualizar o modificar de acuerdo a la Retroalimentación recibida, buscar la aprobación por las partes interesadas, hacer la difusión del proceso empleando materiales didácticos, y por último, el Acompañamiento y Verificación del proceso, el cual estará dentro de un proceso de mejora continua que nos permitirá asegurar la conveniencia operativa que se requiere de los procesos en todo momento y una correcta y eficiente gestión, enfocados hacia un objetivo particular, que es la eficiencia en la prestación del servicio apegado a las mejores prácticas de cambios y configuraciones que se realicen en los PS, control de versiones, aplicación de políticas y ajustes a las aplicaciones instaladas sobre una Imagen base de software. La imagen base se define como una copia de todo el contenido de las particiones de los diferentes perfiles de PS del servicio APS-3. Estas particiones se copian a partir de la instalación de un sistema operativo y un conjunto de elementos, componentes y configuraciones, basadas en los procedimientos definidos por el SAT. La gestión define y controla los elementos de configuración del servicio con el objetivo de contar con registros precisos de su estado y procedimientos de instalación. RFC: CPA UM2 Página 6 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01237

7 3.2 PROCEDIMIENTOS Y TÉCNICAS PARA EL APROVISIONAMIENTO DEL PROCESO Como parte de los procedimientos y técnicas que CEPRA emplea, a continuación se presentan las metodologías para la administración del proyecto y para la implementación y gestión del proceso de configuración y cambios. La Administración de Proyectos se rige por cinco Grupos de Procesos: Figura 4: Metodología CEPRA alienada al PMI Inicio Durante la ejecución del grupo de procesos de Inicio se asegurará el entendimiento de los objetivos del proyecto que se va a desarrollar, principalmente en relación al producto final y los entregables de alto nivel; identifica las áreas o individuos que estarán involucrados en el desarrollo del mismo y se asegurará que exista una evidencia formal de que el proyecto ha sido autorizado, por un patrocinador con el nivel suficiente para lograr la cooperación de las áreas involucradas y que el proyecto cuente con el presupuesto necesario para su desarrollo. Como parte de la ejecución de los procesos, CEPRA generará los siguientes documentos de salida: Acta de Constitución de Proyecto o contrato Ciclo de vida del proyecto Identificación de Interesados Durante ésta fase el Administrador del Proyecto y Servicios ejecuta el procedimiento para el inicio del proyecto, del cual se obtiene Acta de Constitución del Proyecto (Contrato / Fallo y Propuesta / Anexo técnico). Posteriormente define el Ciclo de Vida del Proyecto. Es muy importante mencionar que los procesos del grupo de Inicio y Planeación se ejecutan en paralelo. RFC: CPA UM2 Página 7 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01238

8 Planeación En éste grupo de procesos el Administrador del Proyecto y Servicios, con base en los objetivos del proyecto, establece y acota el alcance final, identificando los entregables específicos y realizando la planeación integral del trabajo que será desarrollado para cumplir en tiempo y forma con los objetivos del proyecto. Este es el grupo de procesos fundamental del proyecto y en él se establecen las líneas base que servirán para guiar las acciones a seguir en el proceso de ejecución y para medir los avances, evaluar escenarios e identificar las acciones preventivas y correctivas necesarias. Como parte de la ejecución de los procesos CEPRA generará los siguientes documentos de salida: Plan de Comunicación Organigrama del proyecto Directorio de contactos Lista de Asistencia Agenda de reunión Minuta de reunión Matriz de Escalamiento Reporte de Avance EDT (Estructura de Desglose de Trabajo) Listado de entregables Cronograma de proyecto Criterios de aceptación de entregables Registro de riesgos Plan de Recursos Humanos Roles y Responsabilidades Solicitud de cambio En éste grupo de proceso el Administrador del Proyecto y Servicios realizará la reunión de apertura del proyecto con los involucrados, tanto del cliente como por parte de CEPRA; además se realizarán las mesas de planeación a las cuales deberá asistir el Administrador del Proyecto y Servicios, el equipo de implementación y responsables del cliente. Ejecución En este grupo de procesos, el equipo de trabajo realiza las actividades necesarias para el diseño, documentación, gestión y operación de los procesos y herramientas tecnológicas que asegurarán la gobernabilidad de los servicios de telecomunicaciones proporcionados por diferentes operadores. El Administrador del Proyecto y Servicios facilitarán la orientación necesaria para guiar al equipo de trabajo para lograr cubrir las especificaciones correspondientes. Como parte de la ejecución de los procesos CEPRA generará los siguientes documentos de salida: Actualización de EDT Actualización de la Lista de Entregables Actualización del Plan de Trabajo En el grupo de procesos Ejecución, el equipo de implementación de CEPRA realizará las actividades necesarias para lograr que el servicio opere de manera correcta. Para cumplir con los tiempos requeridos por el cliente, diversos equipos de trabajo trabajarán de manera simultánea. RFC: CPA UM2 Página 8 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01239

9 Control y Seguimiento En éste grupo de procesos se realiza la comparación de lo que está sucediendo durante la ejecución del proyecto contra lo que fue planeado, específicamente contra las líneas base; se detectan desviaciones y se establecen, analizan, autorizan y documentan las acciones correctivas y preventivas que resulten necesarias, manteniendo actualizado el plan para la gestión del proyecto. En este proceso se visualiza constantemente la posibilidad de cumplir en tiempo y forma con los objetivos del proyecto. Como parte de la ejecución de los procesos CEPRA generará los siguientes documentos de salida: Hallazgos y acciones correctivas en base a la Lista de Entregables y Criterios de aceptación de entregables. Control del Cronograma Control de Cambios Aprobación del Cambio Acta de aceptación de Entregable Cierre En este grupo de procesos la OAP se asegura de que todos los entregables del proyecto hayan sido generados y cuenten con una aceptación formal del cliente, realiza todos los procesos necesarios para actualizar los registros organizacionales, tanto administrativos como contables y se asegura de que no quede ningún pendiente relacionado con el proyecto generando un acta formal de cierre, tanto para las fases como para el proyecto como tal. Como parte de la ejecución de los procesos CEPRA generará el siguiente documento de salida: Acta de Cierre de Proyecto Implementación y gestión del proceso El soporte y entrega del proceso está basada en: Diseño Revisión Retro Aprobación Difusión Acompaña miento Figura 5: Implementación de Procesos Las actividades principales a ejecutar para la implementación son: 1. Levantamiento de Información para definir actividades y mecanismos para: o Definir los objetivos del proceso e implementar la política, los estándares de proceso, o los planes y los procedimientos. o Evaluar los sistemas existentes de Gestión de la Configuración e implementar los o nuevos sistemas. o Definir los convenios de identificación y nomenclatura de elementos de configuración. o Definir interfaces con otros procesos y presentar informes. o Colaborar en auditorías y encargarse de las acciones correctivas. 2. Para la gestión de los cambios, el levantamiento incluye: o Recibir, registrar y priorizar (en colaboración con el iniciador) solicitudes de cambio y, si es necesario, rechazarlas basándose en los criterios establecidos. o Organizar y moderar reuniones del Comité de Cambios (CAB) y del Comité de RFC: CPA UM2 Página 9 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01240

10 o Cambios de Emergencia (ECAB) o Decidir quién asiste a cada reunión, quién recibe las solicitudes de cambio y qué es o lo que se debe cambiar. o Publicar las planificaciones de cambios (SCs). o Mantener registros de los cambios. o Cerrar las solicitudes de cambio. o Revisar los cambios implementados. o Elaborar y distribuir informes. 3. Revisión del draft del proceso con el responsable designado 4. Entregar el proceso final al responsable designado para su firma de aceptación. 5. Implementar el proceso mediante capacitación y acompañamiento. 6. Sesiones de difusión presencial a Colaboradores del proceso, y entrega de material como un documento con la información sobre su proceso y sus políticas. Los elementos necesarios para llevar una adecuada gestión del proceso de Configuración y Cambios son: Definición de los pasos a seguir para monitorear, medir, analizar y evaluar la efectividad del proceso, servicio y controles aplicables. Los cambios se deben controlar correctamente para: o Minimizar la exposición al riesgo. o Minimizar la gravedad del impacto y la interrupción del servicio. o Implementar el cambio correctamente en el primer intento. CEPRA garantiza que los cambios son registrados, evaluados, autorizados, priorizados, planificados, probados, implementados, documentados y revisados de una manera controlada. La gestión del proceso de Gestión de Configuración y Cambios considera lo siguiente: Evaluar la eficacia del proceso y controles aplicables. Evaluar la eficacia de la aplicación. Verificar el grado en el que se fijaron las necesidades sobre los procesos, servicios y controles aplicables y saber si han sido cumplidas. Facilitar la mejora del rendimiento sobre los procesos, servicios y controles aplicables en cuanto a los riesgos de negocio y de tecnologías de información de la organización global. Proporcionar información para la revisión por parte de CEPRA y el administrador del contrato para facilitar la toma de decisiones relacionadas con los procesos y servicios, así como justificar la necesidad de mejora de su aplicación. Determinar el nivel de cumplimiento de los objetivos del proceso y servicio respecto a sus resultados. CEPRA en conjunto con los dueños de los procesos, servicios y controles aplicables, así como de los activos, deben establecer cada cuando se llevará a cabo el seguimiento y medición de lo que se defina debe ser monitoreado. Los dueños de los procesos, servicios y controles aplicables, así como de los activos serán los responsables de dar seguimiento y medir lo que hayan definido, para tal tarea puede apoyarse de las áreas que consideren necesarias. Se deben analizar los resultados de medición y evaluación de los resultados. RFC: CPA UM2 Página 10 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01241

11 Algunas de las actividades necesarias para la gestión del proceso de configuración y cambios son: 1. Se define y acuerda un indicador para el proceso de configuración y cambios, controles aplicables, así como de los activos necesarios de monitorear. 2. Se define un y acuerda un método de medición para el proceso de configuración y cambios, controles aplicables que se hayan definido previamente como necesarios de monitorear, el cual debe incluir, siempre cuidando que garantice la repetitividad de resultados: o Forma de medirlo o Unidad de medida o Meta 3. Se define y acuerda la periodicidad para cada una de las métricas definidas (cada cuándo se mide) 4. Se analiza la información recibida por parte de los Dueños la información del monitoreo y se hace una evaluación de está, la cual debe incluir: o Cumplimiento con Indicadores (establecer los indicadores de rendimiento) o Medir el nivel de cumplimiento si es Total, Parcial, No cumple. 5. Se desarrolla una presentación que incluya todos los hallazgos detectados para que tomen medidas pertinentes entre CEPRA y el administrador del contrato. 6. Se implementan las mejoras derivadas de las mediciones y análisis realizados (tareas que se van a realizar para garantizar el cumplimiento). 4 DESCRIPCIÓN DETALLADA PARA LA ENTREGA DEL PROCESO DE GESTIÓN DE LA CONFIGURACIÓN Y CAMBIOS Las actividades que se enuncian a continuación, CEPRA las lleva a cabo a través del Proceso de Gestión de Configuraciones y Cambios, los cuales detallan en el presente documento y en general están enfocados a: Mantener procesos y procedimientos para todos los cambios. Recibir la notificación del cambio programado, por parte del SAT. Documentar los cambios calendarizados y su estado. Valorar el impacto total de todos los cambios en una ventana de tiempo dada y con un riesgo de nivel especificado. Administrar los tiempos de ejecución para todos los cambios calendarizados. Valorar el riesgo de los cambios propuestos, incluyendo la revisión de la complejidad del cambio, dependencias, duración del cambio, facilidad de recuperación, impacto potencial y factibilidad de la fecha de implementación propuesta. Administrar la aprobación o rechazo de los cambios propuestos conforme a los procesos vigentes. Coordinar todas las pruebas necesarias para permitir la correcta implementación de los cambios. 4.1 PROCEDIMIENTOS Y TÉCNICAS PARA LA ENTREGA DE LOS PROCESOS (GESTIÓN DE LA CONFIGURACIÓN Y GESTIÓN DE CAMBIOS) A continuación, se presentan los procesos de Gestión de la Configuración y Gestión de Cambios como técnicas para la operación de los procesos. Cabe destacar que estos procesos se presentan de manera enunciativa y podrán ser actualizados con base en las necesidades del proyecto APS-3. RFC: CPA UM2 Página 11 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01242

12 Gestión de la Configuración Política(s) Planeación de la CMDB El Administrador de Configuraciones deberá apegarse y cumplir con este procedimiento. Para efectos de este procedimiento se considera un CI lo siguiente: Dispositivos principales de Infraestructura de hardware como PC s, impresoras, monitores, Servidores y dispositivos de Red. Software: Únicamente Aplicaciones de Negocio, sin considerar software de equipos de escritorio y portátiles. El Catálogo de Servicios de CEPRA se considera como un CI ya que en él se incluye la documentación necesaria para la Administración Efectiva del Servicio. El Administrador de Configuraciones en conjunto con el Administrador de Infraestructura deberán definir el alcance para la planeación de la CMDB. Para determinar el alcance se deberán identificar que sistemas y componentes de TI van a ser incluidos en la CMDB. Es esencial incluir al menos todos los sistemas de hardware de la Infraestructura Principal y software de las Aplicaciones de Negocio de CEPRA. El Administrador de Configuraciones y el Administrador de Infraestructura deberán determinar cuáles son los CI s que se incluirán en la CMDB dependiendo del estado de su ciclo de vida. Por ejemplo pueden obviarse componentes que ya han sido retirados. Los Estados de los CI s serán: Almacenado, Prueba, Desarrollo (Implementación), Producción, Retirado. Para definir el nivel de detalle y profundidad es necesario tener claro el alcance de la CMDB. El nivel de detalle y profundidad debe determinar los atributos que describen a un CI, tipo de relaciones lógicas y físicas registradas entre los diferentes CI s, subcomponentes registrados independientemente. Ejemplo: Atributos: Fecha de compra, fabricante, procesador, sistema operativo, propietario, estado, costo, etc. Relaciones: conexión en red, impresoras conectadas, etc. Profundidad: tarjetas de red, discos duros, tarjetas gráficas, etc. Figura 6: Profundidad y Alcance CMDB RFC: CPA UM2 Página 12 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01243

13 La identificación debe ser, por supuesto, única y si es posible interpretable por los usuarios. Este código debe ser utilizado en todas las comunicaciones referentes a cada CI y si es posible debe ir físicamente unido al mismo (mediante una etiqueta de difícil eliminación). Los códigos no deben ser sólo utilizados para componentes de hardware sino también para software. Una vez generada y registrada la CMDB en la herramienta de CEPRA el Administrador de Configuraciones deberá notificar este hecho y hacerlo oficial a todos los Administradores de Procesos y usuarios en general. Administración de la CMDB. Todos los Administradores de Procesos (Incidentes, Cambios, Liberaciones, etc.) y de Servicios (Servicios de Datos, Servicios de Desktop Management, Servicios de Call Center, etc.) así como usuarios que tengan asignado algún CI deberán notificar al Administrador de Configuraciones de cualquier error, alta, baja o actualización de un CI registrado en la CMDB. Toda persona que haya solicitado la adquisición de un nuevo componente de Hardware o Software deberá de notificar en paralelo de la Solicitud de Cotización, Préstamo y Compra de Bienes y Servicios al Administrador de Configuraciones, quien deberá de estar preparado para dar de alta el CI desde su ingreso al Almacén. El Administrador de Configuraciones deberá determinar cuáles son los CI s que se podrán actualizar dependiendo del estado de su ciclo de vida y del presupuesto asignado al proyecto correspondiente. Después de una adquisición, antes de que Almacén General haga entrega del CI al responsable del mismo deberá de notificar al Administrador de Configuraciones para que asegure su correcto registro en la CMDB. La Base de Datos de la CMDB deberá ser respaldada diariamente de acuerdo al Plan Preventivo BD Service Center. El registro de todos los componentes de hardware debe iniciarse desde la aprobación de su compra y debe mantenerse actualizado su estado en todo momento de su ciclo de vida. Asimismo, debe estar correctamente registrado todo el software de Aplicaciones de Negocio "en producción". Las tareas de control deben centrarse en: Asegurar que todos los componentes están registrados en la CMDB. Monitorizar el estado de todos los componentes. Actualizar las interrelaciones entre los CI s. Para asegurarse de mantener actualizada la CMDB por lo menos una vez al año se deberá realizar una auditoría física a por lo menos el 55% de los CI s. Cualquier cambio en los CI s deberá realizarse a través del Proceso de Administración de Cambios CE-QP-RS-105. Para asegurarse de mantener la integridad de los CI s de los servicios críticos es recomendable que el Administrador de Configuraciones participe en el CAB en los Cambios Mayores. Verificación de la CMDB La verificación de la CMDB debe mostrar la situación actual. Las auditorías se pueden realizar al azar, o cuando la Administración de la RFC: CPA UM2 Página 13 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01244

14 Configuración considere que la información no es correcta. La verificación y auditoría se puede llevar a cabo en las siguientes consideraciones: Después de implementar la nueva CMDB. Un tiempo después de la implementación. Antes y después de cualquier cambio. Después de una recuperación ante desastres. Se deben realizar las siguientes preguntas durante una auditoría: Están todas las RFC s, de todas las etapas de implementación, registradas en la CMDB, y están controlada por la Administración de Configuración? La CMDB está actualizada? En caso de no ser así Por qué? Qué impacto tiene en la Administración del Cambio (análisis real del impacto de los cambios planificados?). El nombre de los nuevos CI s es acorde con las convenciones de nomenclatura? Los contenidos de la DML corresponden con la información de la CMDB? De no ser así Por qué no? Roles, Responsabilidades y Actividades SUBPROCESO PLANEACION DE LA CMDB 1. Administrador de Configuraciones 1.1 Trabaja en conjunto con el Administrador de Infraestructura para definir el alcance y el baseline. 1.2 Define el nivel de detalle y de profundidad de los componentes de configuración. 1.3 Define los atributos y relaciones de la infraestructura que soporta los servicios de BSS. 1.4 Establece la nomenclatura para la identificación de los CIs 1.5 Realiza el inventario de la infraestructura con base a los atributos, relaciones y profundidad definidos. 1.6 Determina las relaciones entre los componentes de la infraestructura y los asocia al servicio correspondiente. 1.7 Asigna codificación a los CI s para su identificación en la CMDB. 1.8 Registra el CI en la CMDB. 1.9 Notifica a los administradores de los procesos (Procedimiento para Administración de Nuevos Servicios o Cambios en los Servicios / Procedimiento de Administración de Cambios y Liberaciones/ Procedimiento para Administración de la Capacidad / Procedimiento para Administración de Disponibilidad y Continuidad) que la CMDB está disponible. Y continúa con el Subproceso para Administración de la CMDB. RFC: CPA UM2 Página 14 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01245

15 SUBPROCESO PARA ADMINISTRACION DE LA CMDB LICITACIÓN PÚBLICA NACIONAL RESERVADA DE LA 2. Responsable de Desarrollo de Nuevas Soluciones y Servicios / Dirección de Ingeniería 2.1. Adquiere un nuevo CI y actualiza su Base de Datos Envía por correo electrónico la Base de Datos al Administrador de Configuraciones. Y continúa con la actividad Administrador de Liberaciones 3.1. Implementa el cambio autorizado 3.2. Informa por correo electrónico al Administrador de Configuraciones el cambio. Y continúa con la actividad Administrador de Incidentes 4.1 Detecta errores en la CMDB. 4.2 Informa por correo electrónico al Administrador de Configuraciones acerca del error. Y continúa con la actividad Administrador de configuraciones 5.1 Recibe por correo electrónico la Base de Datos del nuevo CI comprado. Y continúa con la actividad Recibe por correo electrónico la información de los CI s implementados. Y continúa con la actividad Recibe por correo electrónico la información de los CI s con errores. Y continúa con la actividad Identifica y clasifica los CI s en la CMDB. 5.5 Identifica la relación de los CI s con los servicios proporcionados en la CMDB. 5.6 Actualiza la CMDB con la información del CI. 5.7 Verifica la información actualizada en la CMDB vs los CI s físicos. 5.8 Si la información es correcta, continúa con la actividad La información no es correcta, continúa con la actividad Envía por correo electrónico notificación de la actualización de la CMDB. Y continua con la actividad Corrige la información de los CI s en la CMDB. Y continúa con la actividad Responsable de Desarrollo de Nuevas Soluciones y Servicios / Dirección de Ingeniería / Administración de Liberaciones / Administrador de Incidentes 6.1 Recibe por correo electrónico notificación de la actualización de la CMDB. 6.2 Ingresa y verifica la información del CI en la CMDB. 6.3 Valida y confirma la información del CI en la CMDB. Si la información es correcta, continúa con la actividad 6.4. La información no es correcta, continúa con la actividad 6.5 RFC: CPA UM2 Página 15 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01246

16 6.4 Envía por correo electrónico Vo.Bo. al Administrador de Configuraciones. Y continúa con la actividad Realiza sus observaciones y las envía por correo electrónico al Administrador de Configuraciones para su corrección. Y continúa con la actividad Administrador de Configuraciones 7.1 Recibe por correo electrónico Vo.Bo. Y termina Subproceso para Administración de la CMDB. SUBPROCESO PARA VERIFICACION DE LA CMDB 8. Administrador de Configuraciones 8.1 Identifica físicamente los CI s susceptibles de ser verificados en la CMDB. 8.2 Identifica Áreas que cuenten con CI s. 8.3 Filtra información por área en la CMDB 8.4 Identifica responsables de los CIs. 8.5 Envía por correo electrónico notificación para revisión a los responsables de CI s. 9. Dueño del Servicio. 9.1 Recibe por correo electrónico notificación de verificación. 9.2 Envía por correo electrónico al Administrador de Configuraciones retroalimentación de los CI s de los que es responsable. 10. Administrador de Configuraciones 10.1 Recibe información de los CI s del dueño del servicio Realiza comparación de activos físicos y lógicos de la CMDB mediante Check List. Si existen diferencias, continua con la actividad No existen diferencias, termina Subproceso para Verificación de la CMDB Identifica la necesidad de actualizar la CMDB. Y continúa con el Subproceso para 10.4 Administración de la CMDB. RFC: CPA UM2 Página 16 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01247

17 Gestión de Configuraciones Gestor De Cambios A Proceso de Gestión de Cambios RFC Solicitud de CI nuevo o modificado (SOLICITUD DE GENERACIÓN E INSTALACIÓN DE IMAGEN) CMDB 1. Identificar si se dará de alta un CI nuevo o modificado CI modificado 2. Modificar CI y actualizar CMDB Gestor de Configuraciones Nuevo CI Estructura CMDB CMDB Actualizada Imagen generada e Instalada 3. Revisar que el CI cumpla con los requerimientos No Cumple Cumple 5.Categorizar CI 6. Registrar CI en la CMDB 7. Dar a conocer la actualización de la CMDB 4. Rechazar registro de CI CMDB Actualizada RFC Rechazado A Figura 7: Gestión de Configuraciones Gestión de Cambios Política(s) El Administrador de Cambios categorizará previamente los cambios que no sean estándar. El Administrador de Cambios podrá aprobar todos los cambios que no sea Mayores. El Administrador de Cambios notificará al CAB cuando existan cambios MAYORES por evaluar y les proporcionará todos los detalles que se conozcan del mismo. El Consejo Asesor de Cambios (CAB) sesionará cuando sea necesario para la evaluación de cambios Mayores. La reunión se debe de realizar máximo 5 días hábiles después de que se originó el RFC, en caso de que no existan cambios Mayores el CAB se reunirá por lo menos una vez cada 6 meses. El CAB será presidido por el Administrador de Cambios, formando principalmente por: Administrador de Liberaciones, Administrador de Configuraciones, Administrador de Disponibilidad y Continuidad. Se recomienda que algún representante del Cliente sea parte del CAB así como representantes de las principales áreas de la gestión de servicios de TI. El Consejo Consultor de Cambios de Emergencia será presidido por el Administrador de Cambios, formando principalmente por representantes de las principales áreas de la gestión de servicios de TI y cuya característica es atender aquellos cambios Prioridad 1. RFC: CPA UM2 Página 17 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01248

18 En caso de que sea un Cambio Estándar, para dar de alta la solicitud de Cambio (RCF) y registrarlo, el originador del Cambio deberá comunicarse a la Mesa de Servicio. El personal de la mesa de Servicios deberá capacitarse con base en la información real de las operaciones de los procesos, para que se ejecuten con eficiencia las actividades. Cuando los Cambios sean Mayores o Menores el originador del cambio podrá dirigirse también con el Administrador de Cambios para levantar el RFC. En caso de que exista la duda por parte del originador del Cambio acerca del tipo de Cambio que se desea realizar puede consultarlo con el Administrador de Cambios o con la Mesa de Servicio. El origen de un RFC puede ser de distinta índole: Nuevos Servicios o Cambios en los Servicios: el desarrollo de nuevos servicios o cambios en los servicios usualmente requiere cambios de la infraestructura de TI así como modificaciones al Catálogo de Servicios. En este caso es importante coordinar todo el proceso con Administración de Capacidad, Disponibilidad y Niveles de Servicio para asegurar que estos cambios cumplen las expectativas previstas y no deterioran la calidad de los otros servicios prestados. Estrategia empresarial: la dirección puede decidir una redirección estratégica que puede afectar, por ejemplo, a los niveles de servicio ofrecidos o a la implantación de un nuevo CRM, etc. y que por regla general requieren de cambios de hardware, software y/o procedimientos. Actualizaciones de software de terceros: los proveedores pueden dejar de soportar versiones anteriores de paquetes de software o introducir nuevas versiones con grandes mejoras que recomienden la actualización. Imperativo legal: un cambio de legislación puede exigir cambios en la infraestructura de TI. Otro: en principio cualquier empleado, cliente o proveedor puede sugerir mejoras en los servicios que pueden requerir cambios en la infraestructura. Independientemente de su origen el correcto registro inicial de un RFC debe contener, cuando menos, de los siguientes datos: Fecha de recepción. Identificador único del RFC. Identificador del error conocido asociado (dado el caso). Descripción del cambio propuesto: Propósito. CI s involucrados. Tiempo estimado. Estatus: que inicialmente será el de "registrado". RFC: CPA UM2 Página 18 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01249

19 Este registro deberá ser actualizado con toda la información generada durante el proceso para permitir un detallado seguimiento del mismo desde su aprobación hasta la evaluación final y cierre. Para Los Cambios Mayores: La información de registro debe ser actualizada durante todo el proceso y debe incluir al menos: Costos asociados al RFC. Estatus actualizado: "aceptado", "rechazado", "implementado", etc. Riesgos a tomar en cuenta al aplicar el cambio. Riesgos a tomar en cuenta al NO aplicar el cambio. Fecha de aceptación (denegación) del RFC. Evaluación preliminar de la Administración del Cambio. Prioridad y categoría. Recursos asignados. Fecha de implementación. Plan de implementación. Cronograma. Revisión post-implementación. Evaluación final. Fecha de cierre. Un RFC puede ser simplemente rechazado por el Administrador de Cambios si no se registra el cambio con la información mínima necesaria para realizar su evaluación o no se encuentra claramente justificado. En ambos casos se puede solicitar su modificación si se considera que algunos aspectos del mismo son susceptibles de mejora o mayor definición. En cualquiera de los casos el RFC debe ser devuelto al departamento o persona que lo solicito con el objetivo de que se puedan realizar adecuaciones a favor de dicho RFC o para que pueda ser consecuentemente modificado. El sistema asignará la prioridad del Cambios la cual depende de la la urgencia y el impacto del mismo. La prioridad determinará la importancia relativa de este RFC respecto a otros RFC s pendientes y será el dato relevante para establecer el calendario de cambios a realizar. La categoría determina la dificultad e impacto del RFC y será el parámetro relevante para determinar la asignación de recursos necesarios, los plazos previstos y el nivel de autorización requerido para la implementación del cambio. Los cambios estándar están previamente definidos en el catálogo de cambios BS-NO-RS- 01 para su uso en la mesa de servicio y será retroalimentado el Administrador de Cambios mensualmente de los cambios estándar que se hayan originado así como su estatus. En caso de que el Cambio que se desea realizar no se encuentre en el catálogo de cambios, no se podrá tipificar como Cambio Estándar. Los Cambios Mayores tienen las siguientes características: Son Altamente Complejos Representan una fuerte inversión monetaria no presupuestada Son de Riesgo 3 o 4 Son de impacto 1 o 2 RFC: CPA UM2 Página 19 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01250

20 Los Cambios Menores son todos los Cambios que no son Estándar y no son Mayores. Los criterios de riesgo, impacto, categoría están definidos como sigue: Categoría: Cambio Estándar. Cambio No estándar. Cambio Mayor. Cambio Menor. Riesgo: 0 - No hay riesgo. 1 - Bajo Riesgo. 2 - Riesgo Moderado. 3 - Alto Riesgo. 4 - Muy Alto Riesgo. Impacto: 1 Infraestructura Core con alcance a nivel Empresa. 2 infraestructura Secundaria con Alcance Empresa. 3 Infraestructura Secundaria Múltiples Usuarios. 4 Infraestructura Secundaria uno o dos Usuarios. Urgencia: 1 Crítica - Hay una afectación a nivel empresa y en la prestación total del servicio, el cambio es crítico. 2 Alta - Hay una afectación en el Sitio o afectación parcial del servicio. 3 Media - El cambio conlleva un beneficio para el negocio y/o la prestación del servicio sin que el mismo tenga un sentido de urgencia. 4 Baja - El cambio puede esperar sin afectar negativamente la prestación del servicio, no es crítico para el negocio o el beneficio del cambio es sólo para un usuario. El CAB o el Administrador de Cambios debe analizar y aprobar los RFC s pendientes y junto con el Administrador de Liberaciones elaborar el FSC (CALENDARIO DE CAMBIOS APROBADOS) El FSC (CALENDARIO DE CAMBIOS APROBADOS) se revisará cada que sesione el CAB, la información contenida en él es extraída de la herramienta de GRUPO CEPRA a través de un reporte el cual debe contener por lo menos la información mencionada en el mismo. El FSC (CALENDARIO DE CAMBIOS APROBADOS) tendrá el propósito de mantener informado el estado del cambio a las partes involucradas. Para la aprobación del cambio se debe evaluar: Cuáles son los beneficios esperados del cambio propuesto? Justifican esos beneficios los costos asociados al proceso de cambio? Cuáles son los riesgos asociados? RFC: CPA UM2 Página 20 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01251

21 Disponemos de los recursos necesarios para llevar a cabo el cambio con garantías de éxito? Puede demorarse el cambio? Cuál será el impacto general sobre la infraestructura y la calidad de los servicios TI? Puede el cambio afectar los niveles establecidos de seguridad TI? En el caso de cambios de Impacto 1, Riesgo 4 o se requiera una fuerte inversión no presupuestada se debe de comunicar el Cambio y la decisión del CAB a la Dirección General de GRUPO CEPRA. La única excepción es que sea un cambio de Emergencia y no se pueda localizar al Director General. Aunque la Administración de Cambios NO es la encargada de implementar el cambio, algo de lo que se encarga habitualmente la Administración de Liberaciones, sí lo es de supervisar y coordinar todo el proceso. En la fase de desarrollo del cambio el Administrador de Cambios debe monitorear el proceso para asegurar que: Tanto el software desarrollado como el hardware adquirido se ajustan a las especificaciones predeterminadas. Se cumplen los calendarios previstos y la asignación de recursos es la adecuada. El entorno de pruebas es realista y simula adecuadamente el entorno de producción. Los planes de "back-out" permitirán la rápida recuperación de la última configuración estable. Es responsabilidad de la Administración de Cambios y de la Mesa de Servicio mantener informados a los usuarios de los futuros cambios y, dentro de lo posible, hacerles partícipes del mismo: Escuchando sus sugerencias. Comunicando las ventajas asociadas. Aclarando sus dudas y dando soporte cuando ello sea necesario: la percepción de mejora debe ser compartida por usuarios y clientes. En Cambios Mayores antes de proceder al cierre del cambio es necesario que el Administrador de Cambios junto con el originador del cambio realicen una evaluación (PIR- Post Implementation Review) la cual podrá realizarse electrónicamente a través de un correo electrónico siempre y cuando contenga la información del formato BS-FO-MS-06 para que permita valorar realmente el impacto del mismo en la calidad del servicio y en la productividad de GRUPO CEPRA. Los aspectos fundamentales a tener en cuenta en el PIR son: Se cumplieron los objetivos previstos? En qué medida se apartó el proceso de las previsiones realizadas por la Administración de Cambios? Provocó el cambio una interrupción del servicio imprevista? Cuál ha sido la percepción de los usuarios respecto al cambio? Se pusieron en marcha los planes de "back-out" en alguna fase del proceso? Por qué? Quedó dentro del presupuesto? SI/NO? Por qué? RFC: CPA UM2 Página 21 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01252

22 El formato PIR (Revisión Post Implementación) se identificara también como el Check List utilizado en el Procedimiento para Liberaciones. Si la evaluación final determina que el proceso y los resultados han sido satisfactorios se procederá al cierre del RFC y toda la información se incluirá en la PIR asociada. Cuándo se solicite un RFC referente a un cambio o nuevo sistema o servicio a ser implementado, se deberá de especificar si tiene requerimientos especiales de seguridad los cuales deberán de ser especificados por el solicitante. Los PIR también se realizarán para los cambios Mayores ejecutados por externos y aplicarán todas las políticas anteriormente descritas. Roles, Responsabilidades y Actividades 1. Administrador de Nuevos Servicios y Cambios a los Servicios 1.1. Envía por correo electrónico la información correspondiente al Administrador de Cambios. Continúa con el Subproceso para Cambio No Estándar. 2. Administrador de Incidentes 2.1. Solicita a la mesa de servicio la generación del RFC. Y continúa con la actividad Administrador de Niveles de Servicio 3.1. Solicita a la mesa de servicio la generación del RFC. Y continúa con la actividad Administrador de Liberaciones 4.1. Solicita a la mesa de servicio la generación del RFC. Y continúa con la actividad Administrador de Capacidad 5.1. Solicita a la mesa de servicio la generación del RFC. Y continúa con la actividad Administrador de Configuraciones 6.1. Solicita a la mesa de servicio la generación del RFC. Y continúa con la actividad Administrador de Continuidad y Disponibilidad 7.1. Solicita a la mesa de servicio la generación del RFC. Y continúa con la actividad Administrador de Capacidad 8.1. Solicita a la mesa de servicio la generación del RFC. Y continúa con la actividad Mesa de Servicio 9.1. Genera el RFC de acuerdo a la solicitud en la herramienta de mesa Verifica y registra la solicitud de acuerdo al catálogo de cambios. Se trata de un Cambio No Estándar, continúa con el Subproceso para Cambio No Estándar. RFC: CPA UM2 Página 22 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01253

23 Es un Cambio Estándar, continúa con el Subproceso para Construcción del Cambio. SUBPROCESO PARA CAMBIO NO ESTANDAR 10. Administrador de Cambios Recibe por correo electrónico o por la herramienta de mesa la información, analiza y revisa que se encuentre completa Es aceptado el cambio, continúa con la actividad El cambio no es aceptado, continúa con la actividad Evalúa el costo, riesgo, impacto y urgencia. Es prioridad 1, continúa con el Subproceso para Cambio de Emergencia. No es prioridad 1, continúa con la actividad Identifica si se trata de un Cambio Mayor. Es un Cambio Mayor, continúa con el Subproceso para Cambio Mayor. No es un Cambio Mayor, continúa con el Subproceso para Construcción del Cambio Envía información del cambio a Mesa de Servicio / Administrador de Nuevos Servicios o Cambios a los Servicios, continúa con el Subproceso para Notificación MS SUBPROCESO PARA CAMBIO MAYOR 11. CAB Revisa y evalúa el RFC Es autorizado el cambio, continúa con la actividad El cambio no es autorizado, continúa con la actividad Estima el impacto y los recursos, confirma prioridad y calendariza el cambio, continúa con la actividad Rechaza el cambio justificando el porqué de su no autorización, continúa con la actividad Administrador de Cambios Registra el cierre del RFC con estatus de Cancelado y notifica a la Mesa de Servicio a través de la herramienta de mesa. Y continúa con el Subproceso para Notificación de MS Registra el RFC con estatus Autorizado y notifica al Constructor del Cambio. Y continúa con el Subproceso de Construcción del Cambio. SUBPROCESO PARA CAMBIO DE EMERGENCIA 13. Administrador de Cambios Convoca al CAB / Emergencia el mismo día que recibió el RFC. RFC: CPA UM2 Página 23 de 31 FOLIO PROPUESTA TÉCNICA CEPRA: Este folio es consecutivo en orden alfabético por empresa: 01254